Det var alligevel ikke det afgørende våben mod Conficker-ormen, som to tyskere tilknyttet Honeynet -projektet i går aftes offentliggjorde. De to havde fundet et fingeraftryk, der kan bruges til at fange ormen på ethvert netværk.
Men den opdagelse gør ikke den store forskel, siger flere itsikkerheds-eksperter til ComON.
"Det, de har fundet, har vi i princippet kendt til længe. Vores removal-tool bruger allerede et fingeraftryk. Det nye, de gør, er at tilbyde en heuristisk scanning (en undersøgelse af adfærdsændringer, red). Men stadigt er Conficker lige stærkt krypteret, og det er endnu ikke lykkedes nogen at bryde den. Det er state of the art-kryptering, og vi aner stadig ikke, hvad ormen reelt indeholder," siger Michael Dahl, F-Secure.
Også Peter Kruse hos Csis slår koldt vand i blodet:
"Gid det var så vel at der var fundet et afgørende våben mod ormen. Men værktøjer til at detektere og fjerne Conficker har været tilgængelige i mere end en måned. Det eneste nye opdagelsen medfører er, at man kan foretage en remote scanning af et netværk på protokol-niveau," siger han.
Det betyder, at man uden administratoradgang ville kunne scanne efter inficerede pc'er i stor stil - en situation, der dog kun er rigtig interessant i ganske få scenarier.
En af dem handler om scanninger foretaget af ISP'erne (Internet Service Providere).
"Det er rigtigt. Hvis ISP'eren vil kunne gennemføre en overordnet scanning og advare inficerede brugere - og i yderste konsekvens koble dem af nettet for at forhindre spredning, så ville det være et stort og afgørende slag mod ormen. Men jeg ved ærligt talt ikke om det ville være etisk i orden at ISP'erne begyndte at scanne brugernes pc'er - eller for den sags skyld om det overhovedet ville være lovligt," siger Peter Kruse.
ComON har spurgt formanden for Telekommunikationsindustrien, Jens Ottosen-Støtt, om han kunne finde på at indføre scanninger på ISP-niveau. Svaret er, at det kommer an på situationen:
"Hvis det var så alvorligt, at hele systemets overlevelse var på spil i et angreb, så kunne man godt forestille sig det," siger han.
ISP-scanninger er dog ikke noget, Jens Ottosen-Støtt ville kaste sig ud med den store begejstring:
"Det ville kræve nogle tunge overvejelser. Vi ville selv løbe en risiko ved at gøre det, og det ville også være svært at overskue konsekvenserne. Men hvis situationen er alvorlig nok, ville vi blive nødt til at melde os under fanerne," siger han.
Hvor alvorlig situationen egentlig er, det er der ikke rigtigt nogen, der ved, andre end Conficker-ormens bagmænd.
Formentlig kommer svaret i løbet af onsdagen når ormen som forventet opdaterer sig selv.
At det netop sker den 1. april får Peter Kruse til at spekulere på, om bagmændene simpelthen blot har haft lyst til at drive lidt gæk med resten af verden:
Det helt store spørgsmål er, hvad der sker med Conficker den 1. april. Det værste er, at den åbenbarer sig som informationstyv. Men måske er det bare udtryk for en aprilsnar, at den er sat til at opdatere på denne dato. Så dukker der måske bare et grinende ansigt op på alle de inficerede maskiner, og så kan man så vælge at le af det, hvis man synes, det er sjovt. Hvis Conficker viser sig at være en aprilsnar, så bliver det den største aprilsnar, jeg nogensinde har hørt om," lyder det fra Peter Kruse.
Conficker er ifølge CSIS' estimater oppe på at have inficeret på 7-8 millioner pc'er på verdensplan, mens andre anslår, at tallet er oppe på ti millioner. I Danmark er omkring 8000 maskiner inficerede.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt